Fördjupad granskning av 16 driftsincidenter och vidtagna säkerhetsåtgärder avslutad

2021-11-16

Operatörer har genomfört utlovade säkerhetsåtgärder efter inträffade driftsincidenter, men behöver fokusera än mer på förebyggande och riskbaserat säkerhetsarbete.

Detta visar sig i den återkommande årliga tillsyn som Post- och telestyrelsen (PTS) har gjort. I år har 16 inrapporterade driftsincidenter av mer omfattande slag granskats. Detta är ett mindre urval av de sammanlagt drygt 300 drifts – och integritetsincidenter som rapporterades till myndigheten under 2020.

PTS har valt att följa upp dessa driftsincidenter då de är särskilt intressanta. Dels vill myndigheten granska om operatörerna genomfört de planerade säkerhetsåtgärderna, dels säkerhetsåtgärderna i sig.

Granskningen fokuserar också på problem relaterade till reservkraft och redundans, där nya regler trädde i kraft förra året. Med i granskningen var också en incident som berott på en överbelastningsattack. De fyra största driftsäkerhetsincidenterna under 2020, som myndigheten har rapporterat till EU-kommissionen och Europeiska unionens cybersäkerhetsbyrå (ENISA), ingår också i denna granskning.

Vidtagna åtgärder efter incidenter höjer driftsäkerheten

PTS ser att operatörerna genomför lämpliga och säkerhetshöjande åtgärder efter inträffade störningar och avbrott i kommunikationsnät och -tjänster.

– Det är positivt att incidenthanteringen leder till investeringar och långsiktiga säkerhetsåtgärder för en förbättrad driftsäkerhet i elektroniska kommunikationsnät och -tjänster, säger Therese Braathen, jurist på PTS.

Granskningen visar dock att vissa av åtgärderna efter incidenterna kan vara av grundläggande slag. Åtgärderna som granskats förbättrar exempelvis nätarkitekturen, genom till exempel separerad funktionalitet eller utökad redundans.

– Vi ser gärna att operatörerna fokuserar än mer på förebyggande och riskbaserat säkerhetsarbete, både vad avser tekniska och organisatoriska åtgärder, säger Therese Braathen.

De bolag som har omfattats av granskningen är Telia, iTUX, Global Connect, Open Infra, Telenor, Tele2, Add Secure och Njudung Energi.

Granskningen har gällt bestämmelserna i 3, 5, 9, 10 och 14 §§ i PTS föreskrifter om krav på driftsäkerhet.

Principiellt intressanta integritetsincidenter som rapporterats under 2020 avser PTS att följa upp i andra planerade tillsynsinsatser.

Mer information

Therese Braathen, avdelningen för säker kommunikation, 08-678 55 37
PTS presstjänst, tfn: 08-678 55 55

Om PTS tillsynsarbete inom driftsäkerhet och konfidentiell kommunikation

Alla i Sverige ska kunna kommunicera i driftsäkra allmänna kommunikationsnät och allmänt tillgängliga elektroniska tjänster. Alla ska också kunna kommunicera elektroniskt utan att riskera att information som man lämnar ifrån sig används på ett oönskat sätt. PTS har i uppgift att säkerställa att operatörerna följer reglerna om driftsäkerhet och konfidentiell kommunikation (integritet). PTS genomför därför olika typer av tillsyn: dels planlagd, dels händelsestyrd i samband med inträffade händelser. Denna tillsyn är exempel på planlagd tillsyn.